Jaki\u015b czas temu projekt SOFI, zaraz po ukazaniu si\u0119 wersji 0.9 zosta\u0142 zamkni\u0119ty. Autor zargumentowa\u0142 swoj\u0105 decyzj\u0119 tym, i\u017c stos TCP\/IP w systemie FreeBSD wydaje mu si\u0119 szybszy, a SOFI by\u0142o projektowane \u015bci\u015ble dla OpenBSD, wi\u0119c projektu nie da\u0142o si\u0119 zwyczajnie przenie\u015b\u0107. Ca\u0142y czas projekt wydawa\u0142 si\u0119 martwy, kiedy to zajrza\u0142em na jego stron\u0119 i zauwa\u017cy\u0142em \u017ce wr\u00f3ci\u0142 do \u017cycia. Postanowi\u0142em dowiedzie\u0107 si\u0119 wi\u0119cej. Co by\u0142o powodem powrotu do OpenBSD i powrotu do \u017cycia SOFI?<\/p>\n
Zapyta\u0142em drog\u0105 poczty elektronicznej autora projektu – Marka Heily, dlaczego powr\u00f3ci\u0142 do OpenBSD, projektowania SOFI, oraz co r\u00f3\u017cni najnowsze wydanie 2.0 od poprzednich. Oto co dosta\u0142em w odpowiedzi.<\/p>\n
Mark Heily:
\nTo prawda \u017ce projekt SOFI przez d\u0142ugi czas by\u0142 zamkni\u0119ty a jego strona domowa zosta\u0142a wy\u0142\u0105czona na wiele miesi\u0119cy. Pr\u00f3bowa\u0142em zmieni\u0107 system operacyjny mojego firewalla na FreeBSD, ale ci\u0105g\u0142e konfigurowanie wszystkiego r\u0119cznie by\u0142o bardzo uci\u0105\u017cliwe. Postanowi\u0142em wi\u0119c powr\u00f3ci\u0107 do OpenBSD.<\/p>\n
Zaprzesta\u0142em rozwija\u0107 SOFI poniewa\u017c by\u0142em niezadowolony budow\u0105 programu z punktu widzenia bezpiecze\u0144stwa. Uruchomienie SOFI 1.0 oznacza\u0142o wy\u0142\u0105czenie funkcji chroot serwera Apache, oraz utworzenie bardzo niebezpiecznego (w sensie mo\u017cliwo\u015bci jego wykorzystania – setuid-root) skryptu CGI pisanego w Perlu.<\/p>\n
Zacz\u0119\u0142em wi\u0119c pisa\u0107 jeszcze raz, poniewa\u017c interesuje mnie pisanie bezpiecznych aplikacji WWW i zawsze wiedzia\u0142em jak \"w\u0142a\u015bciwie\" przeprojektowa\u0107 SOFI, aby wykorzystywa\u0107 separacj\u0119 przywilej\u00f3w.<\/p>\n
SOFI 2.0 dzia\u0142a w \u015brodowisku chroot, oraz wykorzystuj\u0119 separacj\u0119 przywilej\u00f3w. W zasadzi\u0119, sk\u0142ada si\u0119 teraz z dw\u00f3ch cz\u0119\u015bci:
\n– pierwsza nie jest uprzywilejowana do wprowadzania zmian w systemie, i jej zadaniem jest kontakt ze \u015bwiatem zewn\u0119trznym w celach konfiguracyjnych (kt\u00f3rych nie wykonuje),
\n– druga dzia\u0142a z prawami roota, i zajmuje si\u0119 wprowadzaniem zmian do systemu (pobiera dane z cz\u0119\u015bci pierwszej). Dzi\u0119ki takiemu rozwi\u0105zaniu dodatkowo projekt SOFI sta\u0142 si\u0119 bardziej portowalny. Nie trudne jest teraz przeniesienie go na systemy Linux, NetBSD czy inne systemy typu UNIX.<\/p>\n
Jestem zadowolony z obecnej budowy SOFI i my\u015bl\u0119 \u017ce to dobry pocz\u0105tek do dalszych prac nad projektem. W przysz\u0142o\u015bci mam nadziej\u0119 doda\u0107 zarz\u0105dzanie po\u0142\u0105czeniami VPN, Kerberosem, IPSEC, IDS i innymi systemami bezpiecze\u0144stwa.<\/p>\n
Serdecznie dzi\u0119kuje autorowi projektu SOFI – Mark Heily za ch\u0119\u0107 udzielenia odpowiedzi na moje pytania i podzielenia si\u0119 nimi z czytelnikami serwisu bsdzine.org.<\/p>\n
Strona projektu SOFI: http:\/\/sofi-firewall.sourceforge.net<\/p>\n","protected":false},"excerpt":{"rendered":"
Jaki\u015b czas temu projekt SOFI, zaraz po ukazaniu si\u0119 wersji 0.9 zosta\u0142 zamkni\u0119ty. Autor zargumentowa\u0142 swoj\u0105 decyzj\u0119 tym, i\u017c stos TCP\/IP w systemie FreeBSD wydaje mu si\u0119 szybszy, a SOFI by\u0142o projektowane \u015bci\u015ble dla OpenBSD, wi\u0119c projektu nie da\u0142o si\u0119 zwyczajnie przenie\u015b\u0107. Ca\u0142y czas projekt wydawa\u0142 si\u0119 martwy, kiedy to zajrza\u0142em na jego stron\u0119 i … Continue reading \"Mark Heily – SOFI 2 | Mark Heily – SOFI 2\"<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-206","post","type-post","status-publish","format-standard","hentry","category-computers"],"_links":{"self":[{"href":"https:\/\/www.marcinwilk.eu\/en\/wp-json\/wp\/v2\/posts\/206","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.marcinwilk.eu\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.marcinwilk.eu\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.marcinwilk.eu\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.marcinwilk.eu\/en\/wp-json\/wp\/v2\/comments?post=206"}],"version-history":[{"count":0,"href":"https:\/\/www.marcinwilk.eu\/en\/wp-json\/wp\/v2\/posts\/206\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.marcinwilk.eu\/en\/wp-json\/wp\/v2\/media?parent=206"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.marcinwilk.eu\/en\/wp-json\/wp\/v2\/categories?post=206"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.marcinwilk.eu\/en\/wp-json\/wp\/v2\/tags?post=206"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}